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(54) Precede de securisation de rutilisatton d'un terminal d'un systeme de radiocommunication 
cellulaire, terminal et carte utilisateur correspondants 



(57) L'invention concerne notamment un precede 
de securisation de I'utilisation d'un terminal d'un syste- 
me de radiocommunication cellulaire. le terminal etant 
du type destine a cooperer avec une carte utilisateur et 
pouvant fonctionner notamment soit dans un mode nor- 
mal, soit dans un mode verrouille (dans lequel il ne peut 
etre ulilise qu'avec la carte utilisateur dite carte utilisa- 
teur liee^ avec laquelle il a ete verrouille). 

Selon l'invention. on stocke dans une zone memoi- 
re de la carte utilisateur liee des premieres donnees de 
verrouillage (D1 ), et, dans le mode verrouille, le procede 
comprend une phase d'authentiflcation (10) compre- 
nant notamment les etapes suivantes : 



on calcule (11 ) dans le terminal, a partir d'une fonc- 
tion de calcul (A) propre au terminal et de donnees 
intermediaires (Dl) lues dans une zone memoire ac- 
cessible au terminal, des secondes donnees de 
verrouillage (D2) ; 

on compare (12) dans le terminal les premieres et 
secondes donnees de verrouillage (Dl, D2) et Ton 
autorise (13) Tutilisation du terminal uniquement en 
cas d'egalite. c'est-a-dire si la carte utilisateur avec 
laquelle coopere le terminal est authentifiee comme 
la carte utilisateur liee. 
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Description 

Le domaine de I'invention est celui des systemes 
de radiocommunication cellulaire avec des terminaux 
(egaiement appeles stations mobiles). Dans le domaine 5 
de la radiocommunication cellulaire: on connait notam- 
ment, en Europe, le standard GSM ("Groupe special 
Systemes Mobiles publics de radiocommunication fonc- 
tionnant dans la bande des 900 Mhz"). 

Plus precisement, I'invention concerne un procede fo 
de securisatlon de Tutjlisation d'un terminal d'un syste- 
me de radiocommunication cellulaire. Le procede de 
I'invention peut notamment, mais non exclusivement, 
etre mis en oeuvre dans un systeme GSM. 

D'une iagon generale, un systeme de radiocommu- 
nication cellulaire est mis en oeuvre au sein d'un reseau 
de cellules geographiques parcouru par des stations 
mobiles (ou terminaux). Une statiorr de base est asso- 
ciee a chaque cellule, et une station mobile communi- 
que par I'intermediaire de la station de base associee a 20 
la cellule dans laquelle eile se trouve. 

Par station mobile ou terminal (les deux termes 
etant utilises indifferemment dans la presente descrip- 
tion), on entend I'equipement physique utilise par I'usa- 
ger du reseau pour acceder aux services de telecom- 25 
munication offerts. II existe differents types de termi- 
naux, tels que les mobiles montes sur des vehicules. les 
portables ou encore les portatits. 

Generalement, quand un terminal est utilise par un 
usager celui-ci doit connecter une carte utilisateur qu'il 30 
detient, afin que celle-cl procure au terminal son numero 
d'abonne. Ainsi, dans le cas du GSM, la carte utilisateur 
que I'usager doit connecter au teminal est une carte a 
memoire amovible, appelee module d'identification 
d'abonne (ou SIM en anglo-saxon, pour Subscriber 35 
Identity Module), qui procure au terminal son numero 
international d'abonne (ou IMSl en anglo-saxon: pour 
International Mobile Subscriber Identity). 

En d'autres termes, toutes les informations indivi- 
duelles concernant I'abonne sont stockees sur la carte '^o 
utilisateur (ou carte SIM). Chaque terminal peut done 
etre utilise, dans le cas general, avec n'importe quelle 
carte utilisateur. 

Afin d'eviter un usage delictueux de I'identite d'un 
abonne du reseau, un mecanisme d'authentification est ^5 
defini. En effet. il convient d'eviter qu'a partir de la seule 
connaissance de I'identite d'un abonne (ou IMSI), un 
fraudeur puisse se faire passer aupres du reseau pour 
cet abonne. Pour cela, la carte utilisateur contient ega- 
iement une cle d'authentification individuelle et un algo- 
rithme d'authentification. Ainsi, apres que I'abonne se 
soit identifie, le reseau peut controler son identite et in- 
terrompre la procedure si Tauthentification n'est pas 
reussie. 

Par ailleurs, I'abonne peut declarer la perte ou le 5S 
vol de sa carte utilisateur aupres de I'operateur ou du 
gestionnaire du reseau. De cette iagon, toute tentative 
d'utilisation par un tiers de cette carte utilisateur peut 
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etre detectee et interdite au niveau systeme. 

De plus, tres souvent, I'operateur offre un degre de 
protection supplementaire de la carte utilisateur. Pour 
cela, un numero d'identite personnel (ou PIN en anglo- 
saxon, pour Personal Identity Number) est stocke sur la 
carte utilisateur. Ce code PIN est demande a I'abonne, 
qui le saisit au clavier de son terminal, a chaque intro- 
duction de la carte dans le terminal ou a chaque mise 
en service de celui-ci. Ainsi, un eventuel fraudeur ne 
peut utiliser une carte utilisateur perdue ou volee que 
s'il arrive a connaitre le code PIN associe a cette carte 
utilisateur. 

Si des I'origine des systemes de radiocommunica- 
tion cellulaire, divers moyens de protection des cartes 
utilisateur contre la fraude ont ete proposes, comme ex- 
pliques ci-dessus, il n'en a pas ete de meme pour la pro- 
tection des terminaux. En effet, les terminaux des pre- 
mieres generations ne disposent d'aucune protection 
particuliere contre la fraude. Par consequent, un termi- 
nal perdu ou vole peut etre utilise par n'importe quel pos- 
sesseur d'une carte utilisateur valide. En effet, le reseau 
verifie la validite de la carte utilisateur mais pas celle du 
terminal. Le terminal peut done, en termes de protec- 
tion, etre qualifte de passif. 

Or, chaque terminal d'un systehne de radiocommu- 
nication cellulaire est un dispositif tres couteux, que ce 
cout soit supporte par I'abonne ou par I'operateur. 11 y a 
done un interet evident a tenter de securiser son utilisa- 
tion, notamment en cas de perte ou de vol. 

D'une fagon generate, la securisatlon de I'utitisation 
d'un terminal consiste a proposer en plus du mode nor- 
mal de fonctionnement, un mode dit verrouille, dans le- 
quel le terminal ne pewit etre utilise qu'avec la carte uti- 
lisateur, dite carte utilisateur liee, avec laquelle il a ete 
verrouille. En d'autres termes, on cree un lien entre le 
terminal et une carte utilisateur particuliere (dite carte 
utilisateur liee). 

Une technique connue de mise en oeuvre d'un tei 
mode verrouille est decrite dans le brevet EP 301 740 
au non de NOKIA MOBILE PHONES LTD. Le procede 
decrit dans ce brevet comporte une phase de creation 
d'un lien terminal/carte utilisateur et une phase de veri- 
fication du lien terminal/carte utilisateur. 

Lors de la phase de creation du lien, le terminal lit 
des donnees d'identification utilisateur stockees sur la 
carte utilisateur, puis les stocke dans sa memoire. 

Lors de la phase de verification du lien, le terminal 
lit les donnees d'identification utilisateur stockees sur la 
carte utilisateur avec laquelle il coopere, puis les com- 
pare avec cetles stockees dans sa memoire lors de la 
phase de creation du lien, et enfin autorise ou non son 
fonctionnement selon que les donnees lues et celles 
stockees sont identiques ou non. 

Cette technique connue permet done d'eviter qu'un 
terminal soit utilise avec une carte utilisateur autre que 
celle avec laquelle il a ete verrouille. Ainsi, un terminal 
perdu ou vole sans sa carte utilisateur liee est inutitisa- 
ble par un eventuel fraudeur- Ceci contribue done a la 
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reduction du nbmbre de vols de terminaux. 

II est a noter que meme si le terminal est perdu ou 
vole avec sa carte utilisateur liee, it ne peut etre utilise 
qu'avec celle-ci. En etfet, comme deja explique ci<ies- 
suS: Tabonne peut declarer aupres de son operateur la s 
perte ou te vol de sa carte utilisateur, afin que rutilisation 
de celle-ci soit interdite au niveau systeme. Le vol du 
ternninal ne presente done pas non plus d'interet dans 
ce cas- 

Cette technique connue de securisation de I'utilisa- 10 
tion d'un terminal presente neanmoins au moins deux 
inconvenients majeurs. 

Tout d'abord, eile ne permet pas de supprimer com- 
pletement tous les risques d'utilisation frauduleuse du 
ternninal. En effet, le lien temninal/carte utilisateur repo- t5 
se sur le stockage dans la memoire du terminal des don- 
nees d'identification utilisateur (lues par le terminal sur 
la carte utilisateur lors de la phase de creation du lien). 
Or tl est toujours possible qu'un fraudeur modifie direc- 
tement le contenu de la memoire du terminal afin de mo- 
difier le lien verrouillant existant. Dans ce cas. il va rem- 
placer dans la memoire du terminal, les donnees d'iden- 
tification de la carte utilisateur liee par de nouvelles don- 
nees d'identification d'une autre carte utilisateur De cet- 
te iagon.. bien qu'il soit en mode verrouille, le terminal 25 
fonctionne (frauduleusement) puisqu'il voit I'autre carte 
utilisateur comme la carte avec laquelle il est lie. 

De plus, cette technique connue est generalement 
combinee a la protection consistant a demander a 
I'abonne de rentrer son code PIN lors de chaque intro- 30 
duction de sa carte utilisateur dans le terminal ou a cha- 
que mise en service de ceiui-ci. Or cette operation de 
rentree du code PIN peut devenir fastidieuse si elle est 
repetee a de nombreuses reprises au cours d'une me- 
me journee. Pour cette raison, certains abonnes lais- 3S 
sent leur terminal en marche afin de ne pas avoir a ren- 
trer plusieurs fois le code PIN. Des lors, meme si le mo- 
de verroullle est selectionne, le vol du terminal, qui est 
allume et coopere avec sa carte utilisateur liee, permet 
a un fraudeur d'acceder aux services du reseau, et ce 40 
jusqu'a une interdiction au niveau systeme apres que 
I'abonne a declare la perte ou le vol de sa carte utilisa- 
teur On rappelle ici qu'il n'existe pas, pour Tutilisation 
des terminaux voles, de moyen d'interdiction au niveau 
systeme equivalent a ceiui existant pour les cartes uti- -^5 
lisateurs volees. 

L'invention a notamment pour objectif de pallier ces 
inconvenients de I'etat de la technique. 

Plus precisement, I'un des objectifs de la presente 
invention est de foumir un procede de securisation de 50 
rutilisation d'un terminal d'un systeme de radiocommu- 
nication cellulaire, ce procede permettant de supprimer 
completement tous les risques d'utilisation frauduleuse 
du terminal. 

Un objectif complementaire de invention est de ^5 
fournir un tel procede permettant d'eviter a I'utitisateur 
de rentrer son code PIN lors de chaque introduction de 
sa carte utilisateur dans le terminal ou a chaque mise 
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en service de celui-ci. 

L'invention a egalement pour objectif de fournir un 
tel procede qui offre non seulement les avantages of- 
ferts par le procede connu decrit dans le brevet EP 301 
740 precite, mais aussi d'autres avantages qui ne peu- 
vent pas etre offerts par ce procede connu. 

En d'autres termes. un objectif de l'invention est de 
fournir un tei procede qui permette, comme le procede 
connu, un fonctionnement en mode verrouille, dans le- 
quel rutilisation du terminal n'est possible qu'avec une 
carte utilisateur particuliere. 

Encore un autre objectif de l'invention est de fournir 
un tel procede qui permette, alors que le procede connu 
ne le peut pas, de laisser un terminal en marche avec 
sa carte utilisateur liee a I'interieur tout en empechant 
une utilisation frauduleuse de ce terminal. 

Un objectif complementaire de l'invention est de 
fournir un tel procede qui permette. localement ou a dis- 
tance, le blocage (interdiction totale de fonctionnement) 
ou le deblocage (autorisation du fonctionnement en mo- 
de verrouille) d'un terminal. 

Un autre objectif de l'invention est de fournir un tel 
procede qui permettre a un abonne disposant de plu- 
sieurs terminaux pour un meme abonnement de dispo- 
ser en permanence d'au moins un terminal permettant 
d'assurer differentes fonctions de "reception passive" 
(fonctionnement du type repondeur), telles que la me- 
morisation des appels regus. 

Ces differents objectifs, ainsi que d'autres qui ap- 
paraitront par la suite, sont atteints selon l'invention a 
I'aide d'un procede de securisation de I'utilisation d'un 
terminal d'un systeme de radiocommunication cellulai- 
re, ledit terminal etant du type destine a cooperer avec 
une carte utilisateur et pouvant fonctionner selon au 
moins deux modes de fonctionnement distincts, a savoir 
un mode normal, dans lequel il peut etre utilise avec 
n'importe quelle carte utilisateur, et un mode verrouille, 
dans lequel il ne peut etre utilise qu'avec la carte utili- 
sateur, dite carte utilisateur liee, avec laquelle il a ete 
verrouille, 

caracterise en ce qu'on stocke dans une zone me- 
moire de ladite carte utilisateur liee des premieres don- 
nees de verrouillage, 

et en ce que, dans ledit mode verrouille: le proce- 
de comprend une phase d'authentification par le termi- 
nal de la carte utilisateur avec laquelle il coopere, ladite 
phase d'authentification comprenant notamment les 
etapes suivantes ; 

on calcule dans ledit terminal, a partir d'une fonction 
de calcul propre audit terminal et de donnees inter- 
mediaires lues dans une zone memoire accessible 
audit terminal, des secondes donnees de 
verrouillage ; 

on compare dans le terminal lesdites premieres et 
secondes donnees de verrouillage et Ton autorise 
rutilisation dudit terminal uniquement en cas d'ega- 
lite, c'est-a-dire si la cartfe utilisateur avec laquelle 



BNSDOCID: <EP 078106SA2> 



EP 0 781 065 A2 



coopere le terminal est authentifiee comme la carte 
utilisateur liee. 

Ainsi, le principe general de I'invention consiste a 
etablir un lien entre un terminal en une carte utilisateur 
en stockant des donnees de verrouillage sur cette carte 
utilisateur (dite carte utilisateur liee). Ce principe differe 
fondamentalement de ceiui propose dans le brevet EP 
301 740 precite. En effet, le principe connu, s'ii consiste 
egalement a etablir un lien entre le terminal et une carte 
utilisateur repose sur le stockage des donnees de ver- 
rouillage dans le terminal (et non pas sur la carte utili- 
sateur liee). 

De cette fagon, le procede de {'invention permet un 
fonctionnement en mode verrouille, dans lequel I'utilisa- 
tion du terminal n'est possible qu'avec la carte utilisateur 
liee. 

De plus, il permet de supprimercompletement tous 
les risques d'utilisation frauduieuse du terminal, tl ne 
presente done pas la vulnerabilite du procede connu. 
En effet, ie lien terminal/carte utilisateur est dependant 
d'une part des premieres donnees stockees sur la carte 
utilisateur liee et d'autre part d'une fonction de calcul 
propre au terminal. Or, un fraudeur ne peut en aucun 
cas connaltre cette fonction de calcul qui n'est pas ac- 
cessible en lecture. De plus, a moins que la carte utili- 
sateur liee ait ete volee avec le terminal, il ne connait 
pas non plus les premieres donnees stockees. Par con- 
sequent, il ne peut pas transformer une carte utilisateur 
-en sa possession afin que celle-ci soit vue par le termi- 
nal comme la carte utilisateur avec laquelle il est lie. 

II est clair que, de fagon connue, si la carte utilisa- 
teur liee a ete volee avec le terminal, Tabonne peut pre- 
venir I'operateur ou le gestionnaire du reseau afin que 
I'utilisation de sa carte utilisateur soit interdite au niveau 
systeme. 

Par ailleurs, le procede de I'invention offre un fonc- 
tionnement en mode verrouille suffisamment securise 
pour ne pas exiger de I'utilisateur qu'il rentre son code 
PIN lors de chaque introduction de sa carte utilisateur 
dans le terminal ou a chaque mise en service de celui-ci. 

Avantageusement, iadite phase d'authentification 
est effectuee notamment : 

lors de chaque mise en marche du terminal : et/ou 
lors de chaque changement de carte utilisateurcoo- 
perant avec le terminal. 

La phase d'authentification peut egalement, de fa- 
9on avantageuse, etre repetee selon une strategie pre- 
determinee, c'est-a-dire par exemple a intervalles de 
temps predetermines (reguliers ou non). 

Preferentiellement, Iadite fonction de calcul propre 
au terminal est une fonction de cryptage selon un algo- 
rithme predetermine, et lesdites premieres et secondes 
donnees de verrouillage sont des donnees cryptees 
avec Iadite fonction de cryptage. 

De cette fa^on, le degre de securisation de I'utilisa- 



tion du terminal est encore augmente. 

Dans un premier mode de realisation preferentiel 
de invention, I'etape de stockage des premieres don- 
nees de verrouillage dans une zone memoire de la carte 
s utilisateur liee est effectuee lors d'une personnalisation 
prealable de Iadite carte utilisateur liee. 

Cette personnalisation prealable est par exemple 
effectue lors de la fabrication de la carte utilisateur, lors 
de la mise en service de la carte utilisateur (par le cons- 
^0 tructeur I'operateur, ou le distributeur), ou encore lors 
de la composition d'un ensemble personnalise compre- 
nant le terminal et sa carte utilisateur En d'autres ter- 
mes, la carte utilisateur est personnalisee en usine ou 
par un distributeur Pour ce qui est de son fonctionne- 
f5 ment dans le mode verrouille, la carte utilisateur est 
done liee des sa personnalisation a un terminal particu- 
lier, a savoir celui dont la fonction de calcul propre per- 
met, a partir de donnees intermedial res, de calculer des 
secondes donnees de verrouillage identiques aux pre- 
mieres donnees de verrouillage stockees sur la carte 
utilisateur liee. En d'autres termes, la carte utilisateur 
ne peut etre verrouille qu'avec ce terminal particulier 

Dans un second mode de realisation preferentiel de 
I'invention, I'etape de stockage des premieres donnees 
de verrouillage dans une zone memoire de la carte uti- 
lisateur liee est effectuee lors de chaque passage du 
mode normal au mode verrouille, de nouveiles premie- 
res donnees a stocker etant calculees dans le terminal, 
a partir de Iadite fonction de calcul propre audit terminal 
et desdites donnees intermediaires. 

Dans ce cas, la carte utilisateur n'est pas prealable- 
ment liee a un terminal et peut done etre verrouillee avec 
n'importe quel terminal. En effet c'est uniquement lors- 
que Ton passe du mode normal au mode verrouille que 
le lien est cree avec le terminal (qui est done celui avec 
lequel la carte utilisateur coopere). 

Avantageusement, lors de chaque passage du mo- 
de verrouille au mode normal, on modifie au moins par- 
tiellement le contenu de la zone memoire de la carte 
utilisateur precedemment liee dans laquelle sont stoc- 
kees les premieres donnees de verrouillage, de fagon 
a supprimer le lien d'authentification entre le terminal et 
la carte utilisateur precedemment liee. 

Ainsi, on estsuravant le prochain passage en mode 
verrouille qu'aucune carte utilisateur n'est liee au termi- 
nal. En d'autres termes, en mode normal, aucune carte 
utilisateur, meme celle qui etait auparavant verrouillee 
avec le terminal, ne conserve dans sa memoire une tra- 
ce d'un lien anterieur avec le terminal. 

De fa9on avantageuse, dans ledit mode verrouille, 
le terminal peut etre utilise avec au moins une autre car- 
te utilisateur, dite autre carte utilisateur liee, pendant 
une session multi-utilisateur debutant apres qu'un code 
multi-utilisateur a ete transmis au terminal, et se termi- 
nant soit lorsque Iadite autre carte utilisateur liee ne coo- 
pere plus avec le terminal, soit lorsque le terminal est 
arrete puis remis en marche. 

Dans ce cas, le terminaJ fonctionne dans le mode 
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verrouille avec I'une ou I'autre de deux cartes utilisa- 
teurs liees. Lorsque la session multi-utiiisateur permet- 
tant rutilisation d'une seconde carte utilisateur liee se 
lermine: on revient au lien entre le terminal et la premie- 
re carte utilisateur liee. La carte utilisateur liee avec la- 
quelle coopere le terminal peut done etre remplacee par 
une autre carte utilisateur sans que cela necessite le 
passage par le mode normal. Par consequent^ la secu- 
risation de I'utilisation du terminal reste totate= meme s'il 
y a deux - et non plus une seule - cartes utilisateur liees. 

Preferentiellement, lesdites donnees intermediai- 
res sont stockees dans une zone memoire du terminal. 

Selon une premiere variante preferentielle, lesdites 
donnees intermediaires sont stockees dans une zone 
memoire de la carte utilisateur avec laquelle coopere le 
terminal. 

Selon une seconde variante preferentielle qui com- 
bine les deux solutions precedentes, lesdites donnees 
intermediaires sont stockees, pour une partie. dans une 
zone memoire du terminal et, pour I'autre partie, dans 
une zone memoire de la carte utilisateur avec laquelle 
coopere le terminal. 

De faq;on avantageuse^ I'etape de stockage des 
donnees intermediaires est effectuee : 

lors de la fabrication du terminal, pour les donnees 
intermediaires qui sont stockees dans une zone 
memoire du terminal, et 

lors de la fabrication de la carte utilisateur pour les 
donnees intermediaires qui sont stockees dans 
dans une zone memoire de la carte utilisateur 

Preferentiellement, le passage par le terminal du 
mode normal au mode verrouille necessite la transmis- 
sion au terminal d'un code de verrouillage/deverrouilla- 
ge predetermine, et le passage par le terminal du mode 
verrouille au mode normal necessite la transmission au 
terminal dudit code de deverrouillage/deverrouillage, 

De cette fa9on, la securisation de rutilisation du ter- 
minal est encore augmentee. 

Avantageusement: ledit code de verrouillage/de- 
verrouillage est rentre par un utilisateur du terminal sur 
un clavier reiie au terminal. 

Dans un mode de realisation avantageux de I'inven- 
tion: dans ledit mode verrouille, le precede comprend 
egalement : 

une etape de blocage du terminal, au cours de la- 
quelle on modifie au moins partiellement le contenu 
de la zone memoire de la carte utilisateur liee dans 
laquelle sont stockees lesdites premieres donnees 
de verrouillage, de iagon a rendre le terminal inuti- 
Itsable meme si la carte utilisateur avec laquelle i! 
coopere est la carte utilisateur liee, et 
une etape de deblocage du terminal, au cours de 
laquelle on reecrit lesdites premieres donnees de 
verrouiliage dans la zone memoire de la carte utili- 
sateur liee, de fa9on a rendre le terminal a nouveau 



utilisable si la carte utilisateur avec laquelle ii coo- 
pere est la carte utilisateur liee. 

Ainsi, lorsqu'il est en mode verrouille, le terminal 
5 peut etre rendu inutilisable (blocage complet empe- 
chant une utilisation frauduleuse) sans pour cela etre 
eteint. Dans cet etat "allume mais bloque": le terminal 
peut assurer differentes fonctions de "reception passi- 
ve" (fonctionnement du type repondeur), telles que la 
10 memorisation des appels regus. 

Preferentiellement, ladite etape de blocage est ef- 
fectuee lorsqu'une commande de blocage est transmise 
au terminal: et ladite etape de deblocage est effectuee 
lorsqu'une commande de deblocage est transmise au 
terminal. 

Atnsi, le precede de ['invention permet, localement 
ou a distance, le blocage (interdiction totale de fonction- 
nement) ou le deblocage (autorisation du fonctionne- 
ment en mode verrouille) du terminal. 
20 Avantageusement, lesdites commande de blocage 
et de deblocage ne sont prises en compte par le terminal 
que si elles sont accompagnees d'un code de blocage/ 
deblocage predetermine. 

Ceci permet d'augmenter encore la securisation de 
25 rutilisation du terminal. 

Preferentiellement, lesdites commande de blocage 
el de deblocage sont transmises au terminal par I'inter- 
mediaire d'un Service de Messages Courts. 

Selon une variante preferentielle: lesdites comman- 
do de de blocage et de deblocage sont transmises au ter- 
minal par I'intermediaire d'un Service de Transmission 
de Donnees. 

Dans un mode de realisation preferentiel de I'inven- 
tion, lesdites commande de blocage et de deblocage 
35 sont transmises audit terminal, dit premier terminal, de- 
puis un autre terminal, dit second terminal, 

et la carte utilisateur avec laquelle coopere ledit 
second terminal et la carte utilisateur avec laquelle coo- 
pere ledit premier terminal correspondent a un meme 
abonnement. 

Ainsi, le precede de invention permet a un abonne 
disposant de plusieurs terminaux pour un meme abon- 
nement de disposer en permanence d'au moins un ter- 
minal permettant d'assurer un fonctionnement du type 
•^5 repondeur (par exemple afin de memoriser des appels 
regus). 

L'invention concerne egalement un terminal et une 
carte utilisateur permettant la mise en oeuvre du prece- 
de tel que presente ci-dessus. 
so Le terminal de l'invention comprend des moyens de 
securisation de sen utilisation comprenant notamment : 

des premiers moyens de lecture dans une zone me- 
moire de ladite carte utilisateur liee de premieres 
55 donnees de verrouiliage ; 

des seconds moyens de lecture dans une zone me- 
moirs accessible audit terminal, de donnees 
intermediaires ; 
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des moyens de caicuL a partir d'une fonction de cai- 
cul propre audit terminal et desdites donnees inter- 
mediaires, de secondes donnees de verrouillage : 
des moyens de comparaison desdites premieres et 
secondes donnees de verrouillage ; et 
des moyens d'autorlsation selective permettant 
I'utilisation dudit terminal uniquement en cas d'ega- 
lite, c'est-a-dire si la carte utilisateur avec laquelle 
coopere le terminal est authentifiee comme la carte 
utilisateur liee. 

La carte utilisateur de I'invention comporte une zo- 
ne memoire destinee a recevoir des premieres donnees 
de verrouillage. 

D'autres caracteristiques et avantages de inven- 
tion apparaitront a la lecture de la description suivante 
de plusieurs modes de realisation preferentiels de I'in- 
vention, donnes a titre d'exemptes indicatifs et non limi- 
tatifS: et des desslns annexes, dans lesquels : 



L'inventlon concerne done un procede de securisa- 
tion de I'utilisation d'un terminal d'un systeme de radio- 
communication celtulaire. Ce terminal est du type des- 
tine a cooperer avec une carte utilisateur et pouvant 
5 fonctionner selon au moins deux modes de fonctionne- 
ment distincts, a savoir un mode normal, dans lequel il 
peut etre utilise avec n'importe quelle carte utilisateur 
et un mode verrouille, dans tequel il ne peut etre utilise 
qu'avec la carte utilisateur dite carte utilisateur liee, 
^0 avec laquelle il a ete verrouille. 

II convient done d'une part de creer un lien entre le 
terminal et la carte utilisateur et d'autre part d'authenti- 
fier ce lien terminal/carte utilisateur afin d'empecher 
dans le mode verrouille, I'utilisation d'une carte utilisa- 
^5 teur autre que la carte utilisateur liee. 

La phase de creation du lien consiste, selon I'inven- 
tion, a stocker dans une zone memoire de la carte utili- 
sateur liee des premieres donnees de verrouillage. 
Comme explique plus en details dans la suite de la des- 
cription, cette phase de creation peut etre effectuee soit 
lors de la fabrication de la carte utilisateur soit lors de 
chaque passage du mode normal au mode verrouille. 

Dans ie mode verrouille, la phase d'authentification 
du lien consiste en une verification par le terminal de la 
carte utilisateur avec laquelle il coopere. Selon ('inven- 
tion, et comme presente sur ('organ igramme simpiifie de 
la figure 1, cette phase d'authentification 10 comprend 
notamment les etapes suivantes ; 

on calcule (11) dans le terminal, a partir d'une fonc- 
tion de calcul A propre au terminal et de donnees 
intermediaires Dl tues dans une zone memoire ac- 
cessible au terminal, des secondes donnees de 
verrouillage D2 : 

on compare (12) dans le terminal les premieres Dl 
et secondes D2 donnees de verrouillage, et 
on autorise (1 3) {'utilisation du terminal uniquement 
en cas d'egalite, c'est-a-dire si la carte utilisateur 
avec laquelle coopere le terminal est authentifiee 
comme la carte utilisateur liee. Dans le cas contrai- 
re, I'utilisation du terminal est refusee (14). 

Cette phase d'authentification 10 est par exemple 
effectuee lors de chaque mtse en marche du terminal et 
lors de chaque changement de carte utilisateur coope- 
rant avec le terminal. Elle peut etre egalement effectuee 
de fagon repetee, selon une strategie predeterminee 
(par exemple a intervalles de temps reguliers au cours 
du fonction nement en mode verrouille). 

La fonction de calcul A propre au terminal est par 
exemple une fonction de cryptage selon un algorithme 
predetermine, de sorte que les premieres Dl et secon- 
des D2 donnees de verrouillage sont des donnees cryp- 
tees avec cette fonction de cryptage A. 

Chacun des trois couples de figures (2A, 2B). (3A, 
3B) et (4A, 4B) presente une technique de mise en 
oeuvre distincte de la phase d'authentification 10 de la 
figure 1. - 



la figure 1 permet d'expliquer le principe general du 
procede selon Tinvention en presentant un organi- 
gramme simpiifie de la phase d'authentification du 
lien terminal/carte utilisateur : 

chacun des trois couples de figures (2A, 28), (3A, 2S 
38) et (4A, 48) presente une technique de mise en 
oeuvre distincte de la phase d'authentification de la 
figure 1 , avec pour chaque couple un mode de rea- 
lisation distinct du stockage des donnees interme- 
diaires, chaque couple comprenant : 30 

* une prenniere figure 2A, 3A et 4A presentant de 
fagjon schematique la repartition entre le termt- 
na! et la carte utilisateur d'elements permettant 
(a mise en oeuvre du procede de invention, 3S 

* une seconde figure 28, 38 et 48 schematisant 
le deroulement de la phase d'authentification 
de la carte utilisateur par le terminal ; 

la figure 5 presente un organigramme simpiifie d'un 40 
premier mode de realisation du procede selon 
I'invention ; 

la figure 6 presente un organigramme simpiifie d'un 
second mode de realisation du procede selon 
I'invention ; 45 
la figue 7 presente de fagon plus detaillee la phase 
de creation du lien apparaissant sur la figure 6 ; 
la figure 8 presente de fagon plus detaillee la phase 
de blocage du terminal apparaissant sur la figure 6 ; 
la figure 9 presente de fa^on plus detaillee la phase so 
de deblocage du terminal apparaissant sur la figure 
6 ; et 

la figure 10 presente de iagon schematique un mo- 
de de realisation particulier du procede de I'inven- 
tion mis en oeuvre entre deux terminaux ; ss 
la figure 1 1 presente un schema simpiifie d'un mode 
de realisation particulier d'un terminal et d'une carte 
utilisateur selon I'invention. 
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Pour chaque couple, la premiere figure 2A. 3A at 
4A presents de facon schematique la repartition entre 
le terminal T et la carte utilisateur CU d'elements per- 
mettant la mise en oeuvre du procede de invention. 
Ces elements sont notamment les premieres donnees 5 
de verrouiilage D1 la fonction de calcut A propre au ter- 
minal: une fonction de comparaison C et les donnees 
intermediaires Dl. Du fait du principe meme de I'inven- 
tion, les premieres donnees de verrouiilage Dl sont tou- 
jours stockees sur la carte utilisateur liee CU. Par io 
ailieurs, par definition, la fonction de calcui A propre au 
terminal ainsi que la fonction de comparaison C sont 
stockees sur le terminal T En revanche, selon la tech- 
nique retenue. les donnees intermediaires Dl peuvent 
etre stockees sur le terminal (cf fig-2A et 2B), sur la carte ?5 
utilisateur CU (cf fig.3A et 3B). ou encore reparties entre 
le terminal T et la carte utilisateur CU (cf fig.4A et 4B). 

La seconde figure 28, SB et 48 schematise le de- 
roulement de la phase d'authentiflcation de la carte uti- 
lisateur CU par le terminal T 

Selon une premiere technique (cf fig.2A et 28), les 
donnees intermediaires Dl sont stockees dans une zo- 
ne memoire du terminal T Le deroulement de la phase 
d'authentification du lien est le suivant (cf fig. 28) : le ter- 
minal lit sur la carte utilisateur les premieres donnees 25 
de verrouiilage Dl et les compare (C) a des secondes 
donnees de verrouiilage D2 qu'il a calculees a partir de 
la fonction de calcul A et des donnees intermediaires D! 
qu'il stocke. Le resultat R de cette comparaison permet 
d'autoriser ou non I'utilisation du terminal T so 

Selon une seconde technique (cf fig.3A et 38), ies 
donnees intermediaires Dl sont stockees dans une zone 
memoire de la carte utilisateur CU avec laquelle coope- 
re le tenninal T Le deroulement de la phase d'authenti- 
fication du lien (cf fig. 38) est identique a ceiui de la pre- 3S 
miere technique excepte le fait que le terminal T lit les 
donnees intermediaires Dl sur la carte utilisateur CU. 

Selon une troisieme technique (cf fig.4A et 48), les 
donnees intermediaires Dl sont stockees, pour une par- 
tie Dl', dans une zone memoire du terminal T et, pour ^^o 
I'autre partie Dr, dans une zone memoire de la carte 
utilisateur CU avec laquelle coopere le terminal. Le de- 
roulement de la phase d'authentification du lien (cf fig. 
48) est identique a celui de la premiere technique ex- 
cepte le fait que le terminal T combine, avec une fonc- 
tion de combinaison f^,, les donnees intermediaires Dl" 
stockees sur le terminal et les donnees intermediaires 
Dl" stockees sur la carte utilisateur, et utilise le resultat 
DIr de cette combinaison pour calculer avec la fonction 
de calcul A, les secondes donnees de verrouiilage D2. 50 

On notera que plusieurs terminaux peuvent avoir 
une meme fonction de cryptage. Dans ce cas, la phase 
d'authentification 10 est preferentiellement mise en 
oeuvre avec la premiere ou la troisieme technique pre- 
citee. Ainsi, grace aux donnees intermediaires Dl, Dl' 55 
qui sont stockees dans une zone memoire du terminal 
mais qui sont distinctes d'un terminal a I'autre, on evite 
que des premieres donnees de verrouiilage identiques 
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soient stockees dans les cartes utilisateur tiees avec tes 
differents terminaux qui possedent une meme, fonction 
de cryptage. 

Les donnees intermediaires Dl, Dl', Dl" sont par 
exemple stockees lors de la fabrication du materiel (ter- 
minal ou carte utilisateur selon les cas) qui les stocke. 

La figure 5 presente un organigramme simplifie d'un 
premier mode de realisation du procede selon inven- 
tion. L'etape 51 de creation du lien terminal/carte utili- 
sateur c'est-a-dire l'etape lors de laquelle on stocke les 
premieres donnees de verrouiilage Dl dans une zone 
memoire de la carte utilisateur liee, est effectuee a titre 
definitif lors de la personnalisation de la carte utilisateur 
liee (par exemple lors de sa fabrication). Pendant le 
fonctionnement en mode verrouille, la phase 10 
d'authentification du lien est effectuee aussi souvent 
que necessaire. Enfin, il est possible de passer du mode 
normal au mode verrouille et vice versa. 

La figure 6 presente un organigramme simplifie d'un 
second mode de realisation du procede selon Tinven- 
tion. La phase 61 de creation du lien est effectuee lors 
de chaque passage du mode normal au mode verrouille. 

La figure 7 presente de fagon plus detaillee cette 
phase 61 de creation du lien, qui comprend les etapes 
suivantes : 

on calcule (71 ), dans le terminal, de nouvelles pre- 
mieres donnees Dl , a partir de la fonction de calcul 
A propre au terminal et des donnees intermediaires 
Dl : 

on stocke (72) ces nouvelles premieres donnees de 
verrouiilage Dl dans une zone memoire de la carte 
utilisateur liee. 

On peut egalement prevoir une etape 62, effectuee 
lors de chaque passage du mode verrouille au mode 
normal, de suppression du lien precedent terminal/carte 
utilisateur liee. Pour cela, on modifie au moins partielle- 
ment ie contenu de la zone memoire de la carte utilisa- 
teur precedemment liee dans laquelle sont stockees les 
premieres donnees de verrouiilage. 

A titre d'option, on peut egalement prevoir que, tout 
en restant dans le mode verrouille avec une premiere 
carte utilisateur liee, le terminal puisse etre utilise avec 
au moins une seconde carte utilisateur liee, pendant 
une session multi-utilisateur. Cette session, lors de la- 
quelle on utilise la seconde carte utilisateur liee, debute 
par la fourniture au terminal d'un code multi-utilisateur 
et se termine soit lorsque la seconde carte utilisateur 
liee ne coopere plus avec le terminal, soit lorsque le ter- 
minal est arrete puis remis en marche. A la fin de la ses- 
sion, on revient au mode verrouille avec le lien entre le 
terminal et la premiere carte utilisateur liee. 

On presente maintenant, en relation avec le second 
mode de realisation du procede de finvention presente 
sur la figure 6, diverses etapes supplementaires que 
peut comprendre le procede de I'invention. On notera 
que ces etapes supplementaires peuvent egalement 
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etre ajoutees au premier mode de realisation du prece- 
de de rinvention tel que presente sur la figure 5. 

AInsi, on peut imposer (etapes referencees 63 et 
64) la fourniture d'un code de verrouillage/deverrouilla- 
, ge predeternnine pour le passage par le terminal du mo- 5 
de normal au mode verrouille, ainsi que pour le passage 
inverse. Ce code de verrouiltage/deverrouillage est par 
exemple rentre par t'abonne sur un clavier relie a son 
terminal (ou integre a celui-ci). 

Le procede peut egalement comprendre= en mode 
verrouille, une etape 65 de blocage du terminal et une 
etape 66 de deblocage du terminal. 

La figure 8 presente de fagon plus detaillee cette 
phase de blocage du terminal qui comprend notam- 
ment une etape 83 de modification, au molns partielle, t5 
du contenu de la zone memoire de la carte utilisateur 
liee dans laquelle sont stockees !es premieres donnees 
de verrouillage D1. Cecl permet de rendre le terminal 
inutilisable meme si la carte utilisateur avec laquelle il 
coopere est la carte utilisateur liee. II est important de 20 
noter que dans cet etat bloque, le terminal reste allume 
et peut done rennplir des fonctions du type repondeur 
(par exemple, memoriser, lors d'un appel le numero de 
I'appelant et/ou un message laisse par celui-ci). 

L'accomplissement de I'etape 65 de blocage peut 25 
etre conditionnee par la double condition suivante : (81 ) 
une commande de blocage doit etre transmise au ter- 
minal, (82) cette commande de blocage doit etre accom- 
pagnee d'un code de blocage/deblocage predetermine. 

La figure 9 presente de fa^on plus detaillee la phase 30 
de deblocage du terminal, qui comprend notamment 
une etape 93 de reecriture des premieres donnees de • 
verrouillage D1 dans la zone memoire de la carte utili- 
sateur liee. Ceci permet de rendre le terminal a nouveau 
utilisable, a la condition bien sur que la carte utilisateur 3s 
avec laquelle il coopere soit la carte utilisateur tiee. 

L'accomplissement de i'etape 66 de deblocage peut 
etre conditionnee par la double condition suivante ; (91 ) 
une commande de deblocage doit etre transmise au ter- 
minal, (92) cette commande de deblocage doit etre ac- 40 
compagnee d'un code de blocage/deblocage predeter- 
mine. 

Comme presente sur la figure 10, les commandes 
de blocage et de deblocage sont par exemple transmi- 
ses au terminal (dit premier terminal T1), depuis un 45 
autre terminal (dit second terminal T2), par I'intermediai- 
re (101) soit d'un Service de Messages Courts, soit d'un 
Service de Transmission de Donnees. Ces deux servi- 
ces sont mis en oeuvre selon des techniques decrites 
dans les recommandations GSM series 2.. 3, 4 et 7. so 
Dans les deux cas, le reseau doit comporter au niveau 
systeme, des moyens de routage de telles commandes 
de blocage et de deblocage, 

Ainsi, un usager disposant pour un meme abonne- 
ment de deux cartes utilisateur distinctes CI , C2 (coo- ss 
perant chacune avec un terminal distinct T1, T2) peut 
disposer en permanence d'au moins un terminal per- 
mettant d'assurer differentes fonctions de "reception 
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passive" (fonctionnement du type repondeur). 

On presente maintenant un exemple d'utili^ation du 
procede selon I'invention dans le cas ou le premier ter- 
minal T1 est un terminal mobile monte sur un vehicule 
et ou le second terminal T2 est un terminal portatif. 

Pendant une periode predeterminee, par exemple 
au cours d'un rendez-vous important, un usager peut 
desirer ne recevoir aucun appel sur son terminal portatif, 
afin de ne pas etre derange. Neanmoins. cet usager 
airnerait savoir ulterieurement si on a essaye de I'appe- 
ler pendant cette periode de temps. Cette possibilite lui 
est offerte, grace au procede de I'invention, s'il effectue 
les operations suivantes : 

il laisse son terminal mobile en marche ; 

il positionne son terminal mobile en mode 

verrouille ; 

depuis son terminal portatif, il envoie (par Service 
de Messages Courts ou Service de Transmission 
de Donnees) une commande de blocage a destina- 
tion de son terminal mobile ; 
il eteint son terminal portatif. 

Ainsi, son terminal mobile peut se comporter com- 
me un repondeur, tout en etant bloque (c'est-a-dire inu- 
tilisable) puisque la carte utilisateur ne contient plus les 
bonnes premieres donnees de verrouillage D1 . 

Ulterieurement (par exemple lorsque son rendez- 
vous est termine), I'usager effectue les operations 
suivantes : 

il met en marche son terminal portatif : 
depuis son terminal portatif, ii envoie une comman- 
de de deblocage a destination de son terminal mo- 
bile. 

Ainsi, il peut utiliser normalement son terminal mo- 
bile, notamment pour lire les messages enregistres ou 
les numeros des appelants memorises pendant le fonc- 
tionnement en tant que repondeur du terminal mobile. 

L'invention concerne egalement un terminal et une 
carte utilisateur permettant la mise en oeuvre du proce- 
de tel que presente ci-dessus. La figure 11 presente un 
schema simplifie d'un mode de realisation de ce termi- 
nal et de cette carte utilisateur. 

La carte utilisateur CU comporte une zone memoire 
110 destinee recevoir des premieres donnees de ver- 
rouillage D1. Le terminal T comprend des moyens 111 
de securisation de son utilisation comprenant 
notamment : 

des premiers moyens 112 de lecture, dans la zone 
memoire 1 1 0 de la carte utilisateur CU liee, des pre- 
mieres donnees de verrouillage D1 : 
des seconds moyens 1 1 3 de lecture, dans une zone 
memoire 114 accessible au terminal, de donnees 
intermediaires D1 ; 

des moyens 115 de calcul, a partir d'une fonction 



BNS0OCID:<EP 0781065A2> 



15 



EP 0 781 065 A2 



16 



de calcul A propre au terminal et des donnees in- 
termediaires Dl lues, de secondes donnees de ver- 
rouillage D2 : 

des nnoyens 1 1 6 de comparaison des premieres et 
secondes donnees de verrouillage D1 , D2 ; et s 
des moyens 1 1 7 d'autorisation selective permettant 2. 
Tutilisation du terminal uniquement en cas d'egatite, 
c'est-a-dire si la carte utilisateur avec iaquelle coo- 
pere ie terminal est authentifiee comme la carte uti- 
lisateur liee. ^0 

Ces moyens 111 de securisation sont utilises, dans 
Ie mode verrouilie, lors de la phase d'authentification 10 
par Ie terminal T de la carte utilisateur CD avec Iaquelle 
11 coopere (cf fig.1 ). 

Dans Ie mode de realisation presente sur la figure 
11, les donnees intermediaires Dl sont stockees dans 
une zone memoire 1 1 4 du terminal. La technique de mi- 
se en oeuvre de la phase d'authentification 1 est alors 
la premiere decrite ci-dessus, en relation avec les figu- 
res 2A et 2B. 

II est clairque invention n'est pas limiteeace mode 
de realisation particulier mais concerne egalement Ie 
cas ou les donnees intermediaires sont stockees dans 
une zone memoire de la carte utilisateur ou encore celui 25 
Ie cas les donnees intermediaires sont reparties entre 
Ie terminal et la carte utilisateur. 
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terminal uniquement en cas d'egalite, c*esl-a- 
dire si la carte utilisateur avec Iaquelle coopere 
Ie terminal est authentifiee cbmme la carte uti- 
lisateur liee. 

Procede selon la revendication 1 , caracterise en ce 
que ladite phase d'authentification (10) est effec- 
tuee notamment : 

lors de chaque mise en marche du terminal : 
et/ou 

lors de chaque changement de carte utilisateur 
cooperant avec Ie terminal. 

Procede selon Tune quelconque des revendications 
1 et 2, caracterise en ce que ladite fonction de calcul 
(A) propre au terminal est une fonction de cryptage 
selon un algorithme predetermine. 

et en ce que lesdites premieres et secondes 
donnees de verrouillage (D1 , D2) sont des donnees 
cryptees avec ladite fonction de cryptage. 

Procede selon Tune quelconque des revendications 
1 a 3, caracterise en ce que I'etape (51 ) de stockage 
des premieres donnees de verrouillage (Dl) dans 
une zone memoire de la carte utilisateur liee est ef- 
fectuee lors d'une personnalisation prealable de la- 
dite carte utilisateur iiee. 



Revendications 

1. Procede de securisation de Tutilisation d'un termi- 
nal (T) d'un systeme de radiocommunication cellu- 
laire. ledit terminal etant du type destine ^ cooperer 
avec une carte utilisateur (CU) et pouvant fonction- 
ner selon au moins deux modes de fonctionnement 
distincts, a savoir un mode normal, dans lequel it 
peut etre utilise avec n'importe quelle carte utilisa- 
teur, et un mode verrouilie, dans lequel il ne peut 
etre utilise qu'avec la carte utilisateur dite carte uti- 
lisateur liee, avec Iaquelle il a ete verrouilie, 

- caracterise en ce qu'on stocke dans une zone 
memoire de ladite carte utilisateur (CU) liee des 
premieres donnees de verrouillage (Dl ), 

et en ce que, dans ledit mode verrouilie, Ie 
procede comprend une phase d'authentification 
(10) par Ie terminal (T) de la carte utilisateur (CU) 
avec Iaquelle il coopere ladite phase d'authentifica- 
tion comprenant notamment les etapes suivantes : 

on calcule (11 ) dans ledit terminal, a partir d'une 
fonction de calcul (A) propre audit terminal et 
de donnees intermediaires (Dl) lues dans une 
zone menrtoire accessible audit terminal, des 
secondes donnees de verrouillage (D2); 
on compare (12) dans Ie terminal lesdites pre- 
mieres et secondes donnees de verrouillage 
(01, D2) et Ton autorise (13) I'utiiisation dudit 



30 5. Procede selon Tune quelconque des revendications 
1 a 3, caracterise en ce que I'etape (61 ) de stockage 
des premieres donnees de verrouillage (Dl) dans 
une zone memoire de la carte utilisateur liee est ef- 
fectuee lors de chaque passage du mode normal 

35 au mode verrouilie, de nouvelles premieres don- 
nees stocker (D1 ) etant calculees dans le terminal, 
a partir de ladite fonction de calcul (A) propre audit 
terminal et desdites donnees intermediaires (Dl). 

40 6. Procede selon la revendication 5, caracterise en ce 
que, lors de chaque passage du mode verrouilie au 
mode normal, on modifie (62) au moins partielle- 
ment le contenu de la zone memoire de la carte uti- 
lisateur precedemment liee dans Iaquelle sont stoc- 
ks kees les premieres donnees de verrouillage (Dl), 
de fa^on a supprimer le lien d'authentification entre 
le terminal et la carte utilisateur precedemment liee. 

7. Procede selon Tune quelconque des revendications 
so . 5 et 6, caracterise en ce que, dans ledit mode ver- 
rouilie. te terminal peut etre utilise avec au moins 
une autre carte utilisateur. dite autre carte utilisateur 
liee, pendant une session multt-utilisateur debutant 
apres qu'un code multi-utilisateur a ete transmis au 
55 terminal, et se terminant soit lorsque ladite autre 
carte utilisateur liee ne coopere plus avec le termi- 
nal, soit lorsque le terminal est arrete puis remis en 
marche. 
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8. Procede selon I'unequelconquedes revendications 
1 a 7, caracterise en ce que lesdites donnees inter- 
mediaires (D1) sont stockees dans une zone me- 
moire du ternninal. 

5 

9. Procede selon I'une quelconque des revendications 
1 a 1, caracterise en ce que lesdites donnees inter- 
mediaires (D1) sont stockees dans une zone me- 
nnoire de la carte utilisateur avec laquelle coopere 

le terminal. ro 

1 0. Procede selon I'une quelconque des revendications 
1 a 7, caracterise en ce que lesdites donnees inter- 
nnediaires sont stockees, pour une partie (Dl*), dans 
une zone menaoire du terminal et, pour I'autre punie ^5 
(Dl"), dans une zone memoire de la carte utilisateur 
avec laquelle coopere le terminal. 



1 1 . Procede selon I'une quelconque des revendications 
8 a 10, caracterise en ce que I'etape de stockage 
des donnees intermediaires est effectuee ; 

lors de la fabrication du terminal, pour les don- 
nees intermediaires qui sont stockees dans 
une zone memoire du terminal, et 25 
lors de la fabrication de la carte utilisateur pour 
les donnees intermediaires qui sont stockees 
dans dans une zone memoire de la carte utili- 
sateur. 

30 

1 2. Procede selon I'une quelconque des revendications 
1 a 11 , caracterise en ce que !e passage par le ter- 
minal du mode normal au mode verroullle necessite 
(63) la transmission au terminal d'un code de ver- 
rouillage/deverrouillage predetermine, 35 

et en ce que le passage par le terminal du mo- 
de verroullle au mode normal necessite (64) la 
transmission au terminal dudit code de deverrouilla- 
ge/deverroullllage. 

40 

13. Procede selon la revendication 12, caracterise en 
ce que ledit code de verrouillage/deverrouMlage est 
rentre par un utilisateur du tei^minal sur un clavier 
relie au terminal. 

45 

1 4. Procede selon Tune quelconque des revendications 
1 a 13, caracterise en ce que, dans ledit mode ver- 
roullle, le procede comprend egalement : 



cours de laquelle on reecrlt (93) lesdites pre- 
mieres donnees de verroulllage (D1) dans la 
zone memoire de la carte utilisateur liee. de fa- 
9on a rendre le terminal a nouveau utilisable si 
la carte utilisateur avec laquelle il coopere est 
la carte utilisateur liee. 

15. Procede selon la revendication 14, caracterise en 
ce que ladlte etape (65) de blocage est effectuee 
lorsqu'une commande de blocage est transmise 
(81 ) au terminal, 

et en ce que ladlte etape (66) de deblocage 
est effectuee lorsqu'une commande de deblocage 
est transmise (91) au terminal. 

16. Procede selon la revendication 15, caracterise en 
ce que lesdites commande de blocage et de deblo- 
cage ne sont prises en compte par le terminal que 
si elles sont accompagnees (82 : 92) d'un code de 
blocage/deblocage predetermine. 

1 7. Procede selon I'une quelconque des revendications 
15 et 16. caracterise en ce que lesdites commande 
de blocage et de deblocage sont transmises au ter- 
minal par rintermedlaire d'un Service de Messages 
Courts. 

1 8. Procede selon Tune quelconque des revendications 
1 5 et 1 6, caracterise en ce que lesdites commande 
de blocage et de deblocage sont transmises au ter- 
minal par I'lntermedialre d'un Service de Transmis- 
sion de Donnees. 

19. Procede selon I'unequelconquedes revendications 
15 a 18, caracterise en ce que lesdites commande 
de blocage et de deblocage sont transmises audit 
terminal, dit premier terminal (T1), depuls un autre 
terminal, dit second terminal (T2), 

et en ce que la carte utilisateur (C2) avec la- 
quelle coopere ledit second terminal (T2) et la carte 
utilisateur (CI) avec laquelle coopere ledit premier 
terminal (T1) correspondent a un meme abonne- 
ment. 

20. Terminal (T) d'un systeme de radiocommunication 
cellulaire, ledit terminal etant du type destine a coo- 
perer avec une carte utilisateur (CU) et pouvant 
fonctionner selon au molns deux modes de fonc- 
tlonnement distlncts, a savoir un mode normal, 
dans lequel II peut etre utilise avec n'Importe quelle 
carte utilisateur, et un mode verroullle, dans lequel 
il ne peut etre utilise qu'avec la carte utilisateur dite 
carte utilisateur liee, avec laquelle il a ete verroullle, 

caracterise en ce qu'll comprend des moyens 
de securisation de son utilisation comprenant 
notamment : 

des premiers moyens de lecture dans une zone 



une etape (65) de blocage du terminal, au cours 50 
de laquelle on modlfie (83) au moins partleile- 
ment le contenu de la zone memoire de la carte 
utilisateur liee dans laquelle sont stockees les- 
dites premieres donnees de verrouiilage (D1), 
de fagon a rendre le terminal Inutillsable meme 55 
si la carte utilisateur avec laquelle il coopere est 
la carte utilisateur liee, et 
une etape (66) de deblocage du terminal, au 
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memoire de ladite carte utilisateur (CU) iiee de 
premieres donnees de verrouillage (D1) : 
des seconds moyens de lecture dans une zone 
memoire accessible audit terminal, de donnees 
intermediaires (Dl) ; 5 
des moyens de calculi a partir d'une fonction 
de calcul (A) propre audit terminal et desdites 
donnees intermediaires (Dl).. de secondes don- 
nees de verrouillage (D2); 

des moyens de comparaison desdites premie- >o 
res et secondes donnees de verrouillage (D1, 
D2) ; et 

des moyens d'autorisation selective permettant 
rutilisation dudit terminal uniquement en cas 
d'egalite, c'est-a-dire si la carte utilisateur avec '5 
laquelle coopere le terminal est authentifiee 
comme la carte utilisateur Iiee, 



lesdits moyens de securisation etanl utilises, dans 
ledit mode verrouille, lors d'une phase d'authentifi- 20 
cation (10) par le terminal (T) de la carte utilisateur 
(CU) avec laquelle il coopere. 

21. Carte utilisateur du type destine acoopereravec un 

terminal (T) d'un systeme de radiocommunication 25 
cellulaire, ledit terminal pouvant fonctionner selon 
au moins deux modes de fonctionnement distincts, 
a savoir un mode normal dans lequel il petit etre 
utilise soit avec ladite carte utilisateur soit avec 
n'importe quelle autre carte utilisateur du meme ty- 30 
pe, et un mode verrouille, dans lequel il ne petit etre 
utilise qu'avec ladite carte utilisateur, dite dans ce 
cas carte utilisateur llee, s'il a ete verrouille avec 
celle-ci, 

caracterisee en ce qu'elle comporte une zone ^5 
memoire destinee a recevoir des premieres don- 
nees de verrouillage (D1 ), 

lesdites premieres donnees de verrouillage 
(Dl) etant utilisees, dans ledit mode verrouille, lors 
d'une phase d'authentiflcation (-10) par le terminal ^^o 
(T) de la carte utilisateur (CU) avec laquelle il coo- 
pere, ladite phase d'authentiflcation consistant pour 
le terminal a calculer des secondes donnees de ver- 
rouillage (D2), puis a les comparer avec lesdites 
premieres donnees de verrouillage (D1 ) afin d'auto- -^5 
riser I'utilisation du terminal uniquement en cas 
d'egalite. 
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(57) L'invention concerne notamment un precede 
de securisation de ('utilisation d'un terminal d'un syste- 
me de radiocommunication cellulaire, le terminal etant 
du type destine a cooperer avec une carte utiiisateur et 
pouvant fonctionner notamment soit dans un mode nor- 
mal, soit dans un mode verrouille (dans lequel il ne peut 
etre ulilise qu'avec la. carte utiiisateur dite carte utiiisa- 
teur liee: avec laquelle i! a ete verrouille). 

Selon l'invention, on stocke dans une zone memoi- 
re de la carte utiiisateur liee des premieres donnees de 
verrouillage (D1 ), et, dans le mode verrouille, le procede 
comprend une phase d'authentification (10) compre- 
nanl notamment les etapes suivantes : 



on calcule (1 1 ) dans le terminal, a partir d'une fonc- 
tion de calcul (A) propre au terminal et de donnees 
intermediaires (Dl) lues dans une zone memoire ac- 
cessible au terminal, des secondes donnees de 
verrouillage (D2) ; 

on compare (12) dans le terminal les premieres et 
secondes donnees de verrouillage (D1 , D2) et Ton 
autorise (1 3) I'utilisation du terminal uniquement en 
cas d'egalite, c'est-a-dire si la carte utiiisateur avec 
laquelle coopere le terminal est authentifiee comme 
la carte utiiisateur liee. 
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